Panda USB and AutoRun Vaccine
работает просто блестяще! Файл autorun.inf, создаваемый ею на флешке
(дабы предотвратить создание такого файла вирусом) невозможно ни
удалить, ни переименовать , ни модифицировать, ни открыть. 
Познакомимся с программой поближе, рассмотрим ее возможности и метод, на котором базируется принцип работы. ПРОГРАММА Panda USB and AutoRun Vaccine.

Напомню
что «Panda USB Vaccine currently only works on FAT & FAT32 USB
drives». Маленький размер файла (всего 393Kb) и спартанский интерфейс —
все продумано, ничего лишнего. Добавлю что программа бесплатная. Кнопкa
«Vaccinate USB». Специально создадим заранее на флешке файл autorun.inf
с атрибутами RAHS — это никоим образом не помешало программе, при
нажатии на упомянутую кнопку, перезаписать его своим одноименным файлом,
который, «невозможно ни удалить, ни переименовать, ни модифицировать,
ни открыть». Открываем флешку в WinHex, смотрим атрибут файла
autorun.inf. И что же мы видим: 
Мы
видим что изменен атрибут файла: 0х40. В статье FAT12, FAT16 and FAT32
Windows File System находим расшифровку, которой нет в FATGEN: 0x40 Device (internal use only, never found on disk) 0x80 Unused Т.е.
атрибут 0x40 не так уж «некорректен» — он «в рамках спецификаций».
Panda Software реализовали этот способ в крохотной программе, нажатием
одной лишь кнопки — не заставляя пользователя прибегать к WinHex. Средствами
программы отменить вакцинацию флешки невозможно. Если уж появилась
необходимость создать на флешке свой autorun.inf (например, чтобы
сделать ее загрузочной) — то WinHex вам в помощь, или переформатирование
(для этой цели, кстати, хорошо использовать HP USB Disk Storage Format
Tool). Вторая кнопка программы «Vaccinate computer». Проверим, что она делает: 
Это знакомый способ: REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" @SYS:DoesNotExist
говорит explorer'у чтобы он не читал параметры запуска из файла
Autorun.inf, а читал их из ветки реестра
HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist, которая не существует. В итоге
если внешний носитель содержит файл Autorun.inf — то при подключении
носителя к компьютеру, Autorun.inf не запускается. Более того — не
запускается он и при двойном клике по букве диска этого носителя в
проводнике. Способ
хорош (замечу, что в программе присутствует функция отмены этого
действия, на тот случай если авторан пользователю все же понадобится,
осуществляемая повторным нажатием на кнопку, надпись на которой будет
«Remove vaccine»), но добавлю что для полного отключения автозапуска
будет необходимо добавить еще 3 ключа реестра (в приведенном синтаксисе
они добавлаются через bat-файл): REG ADD «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files» /v "*.*" /d "" /f В
CancelAutoplay\Files находятся текстовые параметры, содержащие имена
файлов, отыскав которые на носителе встроенный AutoRun запускаться не
станет, и позволит запустить носитель через autorun.inf. Добавляем
строковый параметр следующего содержания: *.* (все файлы). REG ADD «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer» /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f С
помощью NoDriveAutoRun запрещается загрузка с определенных приводов по
их буквенному обозначению, а NoDriveTypeAutoRun запрещает загрузку с
определенных приводов по их типу. Поскольку нам авторан вообще не нужен,
используем второе. REG ADD «HKLM\SYSTEM\CurrentControlSet\Services\Cdrom» /v AutoRun /t REG_DWORD /d 0 /f Cdrom — полное отключение всякой поддержки автозапуска компакт-дисков (даже ручной). Из
дополнительных возможностей программы: если запустить программу с
ключом (кроме этого ключа есть еще несколько — см. страницу программы)
USBVaccine.exe /resident то она будет висеть резидентно, и при подключении новой флешки, будет предлагать вакцинировать ее: 
ВЫВОДЫ Из
известных на сегодняшний день способов защиты флешек с FAT от
autorun-вирусов это самый надежный. Понятно, что раз такие вещи умеет
делать программа от Panda Software, то рано или поздно вирусописатели
тоже могут этому научиться — но это вопрос времени, а в данном случае
время выиграно, и выигрыш в пользу защиты. — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — UPD: В
комментариях высказывалась идея о том, что было бы логично сделать
создаваемый «Panda USB and AutoRun Vaccine» защищенный файл autorun.inf
скрытым (чтобы не попадался на глаза пользователю, и не провоцировал его
переформатировать флешку, уничтожив защиту). И вот решение найдено,
изящное решение, которое, в общем-то лежало на поверхности: атрибуты
файла — побитовые. Складываем 0x40 (01000000) + 0x01 (00000001) + 0x02
(00000010) + 0x04 (00000100), получаем 0x47 (01000111), и имеем
защищенный файл с атрибутами RHS. На рисунке сверху фрагмент строки
WinHex, под ней — часть окна FAR: 
Модифицированная версия, выставляющая файлу атрибут 0x47: USBVaccine_47.zip Материал подготовлен с использованием информации с сайта http://habrahabr.ru/
Источник: http://www.4-see.ru/texts/stflash/usb_flash_treat/ |